2016年3月开始至2019年9月期间,杭州某数据科技有限公司和各网络贷款公司进行合作,为网络贷款公司提供数据采集服务,在网络贷款公司开设的手机软件app中通过用户授权,利用各类爬虫技术,爬取支付宝、京东、学信网、淘宝等公司的个人用户数据,销售给各网络贷款公司盈利。其中由用户确认的授权协议中,明确告知用户“不会保存用户账号密码,仅在用户每次单独授权的情况下采集信息”,某公司仍采用技术手段保存用户各类账号和密码在自己租用的某服务器上。经对某数据科技公司租用的某服务器进行勘验检查发现,公司以明文形式保存的个人贷款用户账户和密码条数多达2124万条。 2016年3月开始至2019年9月期间,某数据科技公司为各网络贷款公司提供需要贷款个人用户的多维度信用数据过程中,针对支付宝、淘宝、京东、学信网等不同互联网公司的反爬源代码程序编写爬虫程序,利用H5和SDK通道模拟贷款用户个人手机的登录环境、模拟用户操作个人手机贷款软件的行为、租用VPS服务器不断变更海量IP地址等方式,绕过支付宝、淘宝、京东、学信网等互联网公司的反爬机制,在未得到前述互联网公司的授权下,非法获取某芝麻分、花X、某淘气值、XX小白信用分等由前述公司通过程序建模、大数据分析得出的信用评分数据,且将此类评分数据提供给网络贷款公司牟利,为全国上百家网络贷款公司提供风险分析贷后预警、催收智能运筹等金融全生命周期风险管理服务,某数据科技公司以此非法获利人民币213694226.76元,共计获取数据22600775条。 某公司与网贷平台进行合作(由某公司为网贷平台提供风控服务),某公司将其开发的前端插件嵌入网贷APP中,用户在网贷APP中借款时须在某公司的插件上,填写其淘宝、京东等网站的账号密码,某公司在授权协议中明确告知用户不会保存账户密码。但前端插件将该账户密码传至某公司服务器并上传到某服务器保存,数量共计21241504条。某公司在用户强授权下,在用户填写账号密码后,代替用户登录通过淘宝、京东等网站,使用机器人程序,复制下载用户账户内的淘气值、小白信用分、支付宝余额、花呗额度等数据,提供给网贷公司,获取收益,期间,公司技术部门所开发的ofs-service爬虫程序,未经淘宝等公司的授权,需要破解(绕过)上述网站的反抓取措施。(实际就是人工操作允许,机器人自行操作不允许)只要网站提出异议,均停止爬取。 1、构成侵犯公民个人信息罪 依照《刑法》第二百五十三条之一第三款的规定,窃取或者以其他方法非法获取公民个人信息的,构成侵犯公民个人信息罪。两高《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,“账户密码”等能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,属于公民个人信息。 同时规定,在提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。 《网络安全法》第22条第3款:网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。第41条第2款:网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 第44条:任何个人和组织不得窃取或者以其他非法方式获取个人信息。第42条也有相关规定。 《民法总则》第111条:自然人的个人信息受法律保护。任何组织和个人需要获取他人个人信息的,应当依法取得并确保信息安全,不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息。 两高一部《关于依法惩处侵害公民个人信息犯罪活动的通知》:对于在履行职责或者提供服务过程中,将获得的公民个人信息出售或者非法提供给他人,被他人用以实施犯罪,造成受害人人身伤害或者死亡,或者造成重大经济损失、恶劣社会影响的,或者出售、非法提供公民个人信息数量较大,或者违法所得数额较大的,均应当依法以非法出售、非法提供公民个人信息罪追究刑事责任。 本案中,犯罪单位某公司在与用户的授权协议中明确告知用户不会保存用户的淘宝、京东等账户密码,仍将用户的账户密码保存在服务器中,经勘验,保存的账户密码数量共计21241504组,属于违反国家有关的规定,在提供服务过程中收集公民个人信息,构成侵犯公民个人信息罪。 2、是否构成非法获取计算机信息系统数据罪 对于某公司绕过支付宝等第三方平台的反爬风控措施,在用户授权下,采用自动化程序复制支付宝等平台用户账户内的数据行为的定性:有两个可能涉及的罪名: 一是是否构成破坏计算机信息系统罪。此罪条件是违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的。 本案有可能是反反爬措施是否系违反国家规定,干扰平台系统,造成系统不能正常运行,后果严重。 目前不属于此类情形,理由(1)绕过反爬风控措施主要有变化IP地址,模拟真人操作程序等措施,均满足用户授权下的访问,其只是骗过了平台的这些措施,并未对平台的计算机信息系统产生影响。反爬虫措施本质上不是网络安全的技术措施,只是“防范用户授权第三方登录”的一种技术措施,实质上只是平台与用户对于用户专属空间的访问控制权问题的协议安排,主要针对特定系统的访问控制问题,这么设置上目的其实就是限制同业竞争对手,其合法性值得商榷。从表面手段行为上看,其有绕过(骗过)技术措施的行为,但实质上,其绕过的措施并非与网络安全等级相同的措施,因为根据《计算机信息系统安全保护等级划分准则》对于系统安全进行分类,认定的标准主要有三个方面,A自主访问控制,B是用户身份鉴别,C是数据完整性。从这三方面来看,某公司在用户授权下,使用用户身份及密码进入用户可自主访问控制的空间或者在部分情况下绕过支付宝等第三方网站设置的反授权登录措施,该行为并未对上述三个系统安全重要方面破坏,不会危害计算机信息系统安全 (2)另支付宝等平台称如果达到一定数量规模同时对一个平台进行,可能会增加平台服务器负担,但在用户授权的角度分析,其实只是把用户的人工操作过程,变成了程序机器人操作过程,登录的数量的一样的, 且目前也未造成负担的相应结果数据,且支付宝、人民银行发出函告后,某公司均停止爬取行为,故目前也无法认定其对平台的计算机系统造成干扰 (3)关键是违反国家规定,目前此类行为违反何种国家规定尚不明确,有企业曾对外发表法律声明,反对此类爬虫行为,称要保留法律追索权利,因数据的归属权不明,目前尚无法律依据,故无法认定。 二是是否构成非法获取计算机信息系统数据罪,依照《刑法》第二百八十五条第二款的规定,违反国家规定,侵入或采用其他技术手段,获取计算机信息系统中存储的数据,情节严重的,构成非法获取计算机信息系统数据罪。本案不构成非法获取计算机信息系统数据罪,理由如下: (一)是在行为层面,某公司已经得到了用户的授权,并非非法侵入计算机信息系统。根据目前的司法解释及相关案例,从手段行为构罪上均表现两个要点,一是非法用户侵入系统,二是合法用户的越权访问,就本案而言,两者不符合。 “两高”《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》将账户密码是确认用户在计算机信息系统上操作权限的身份认证信息,其实是辨别计算机信息系统是否得到授权访问的重要、乃至最重要的措施。用户将自己的账户密码交由某公司,某公司使用该账户密码发起登录,相当于代替用户进入该计算机信息系统,已经得到了该计算机信息系统最重要的安全措施的授权。 此外,目标网站设置反爬措施的目的是限制用户使用自动化程序这种方式登录,而不是限制非授权用户的登录,因为用户的账户密码本身就代表授权,网络爬虫如果得到用户的账户密码,其实也就是得到了授权,退一步讲,即使目标网站和用户之间约定了用户不能将账户密码交给别人使用,但这并不是国家规定,只能构成违约。 (二)是本罪法益是计算机信息系统的数据安全,而目前的立法对数据权属未作出明确规定。目前立法只对用户和数据网站之间的权利框架进行了拟定,但具体的权利义务关系尚未明晰,因此是否需要得到网站的授权存疑,理由如下: 第一,根据《民法典》1037条“自然人可以依法向信息处理者查阅或者复制其个人信息”的规定,用户在目标网站上的数据应判定为双方均拥有权益,且应当以用户的个人信息权为主、网站的数据使用权为辅。用户既然拥有一定的查阅和复制权,那么用户授权某公司去爬取自己的用户信息,也就是在一定程度上“让渡”了数据权利,行为的危害性就降低了 第二,某公司所爬取的数据大部分是用户的初始数据,而不是目标网站基于初始数据加工而成的数据。结合杭州铁路运输法院的淘宝公司诉美景公司案判决,数据分为原始数据和衍生数据(即数据网站在原始数据的基础上通过算法、数据模型等形成的抽象化、去标识化数据),数据越靠近原始数据,用户对数据的权利越大,网站对数据的权利越小。 本案中,用户自身授权某公司获取其在目标网站的数据,既有原始数据也有一定的衍生数据(如芝麻信用分、小白分)。对于原始数据,不应认定某公司对用户的数据安全法益造成了危害,对于衍生数据,目前法律没有明确规定,应当存疑。 最后,基于数据创新和共享的考虑,应鼓励对原始数据的自由流通,当被爬虫的一方数据体量巨大,而其中的数据又属于原始数据或基础数据时此时应当更多允许第三方的数据爬虫与数据合理使用,这是因为,当超级网络平台收集海量数据后,此时数据的潜在垄断就会成为可能 (三)是爬虫程序的存在具有合理性,且现有证据无法认定某公司影响了网站的正常运行。现行立法并没有对爬虫程序(即自动化程序)作出规定,但中央网信办2019年5月发布的《数据安全管理办法征求意见稿》第16条,首次以规范性文件的形式对爬虫(即自动化程序)进行界定,网络运营者采取自动化手段访问收集网站数据,不得妨碍网站正常运行,此类行为严重影响网站运行,如自动化访问收集流量超过日均流量三分之一,网站要求停止自动化访问收集时,应当停止。该意见稿条文只是对爬虫程序施加了不得影响网站运行的义务,但没有禁止爬虫的存在及其访问收集行为,故可以认为爬虫程序在不影响网站正常运行的前提下是合理的存在。 本案中,现有证据无法认定某公司影响了网站的正常运行,虽然支付宝等网站表示未经许可的数据爬取行为占用了支付宝的网络和服务器资源,但无法证明此种“占用”影响了网站运行: 一是某公司的爬取是在用户“一事一授权”下进行的,用户本身就有登录服务器查看自己数据的需求,即使某公司不代替用户爬取数据,用户也会自己登录网站查看数据,其对服务器的“占用”并无二致,甚至某公司的爬虫程序效率更高; 二是参考《数据安全管理办法征求意见稿》,如果要认定某公司的爬取行为违法,应当证明其对淘宝等网站的运行造成了影响,如自动化访问收集流量超过日均流量三分之一等情形,但淘宝等网站出具的情况说明只表明某公司的爬取行为会占有服务器资源,但占用了多少服务器资源,日均流量是否超过三分之一,是否对网站运行造成影响,现有证据无法证明。 三是违法所得或者经济损失无法计算。由于本案中某公司获取的数据并非“身份认证信息”,因此,依照两高《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,本案适用的“情节严重”的标准应当是违法所得五千元以上或者造成经济损失一万元以上。 本案中,某公司既爬取了有反爬措施的淘宝、京东等网站的数据,也爬取了没有反爬措施的公积金、车险等网站的数据,而某公司的收费是以用户为单位,每个用户的所有信息(既包括有反爬措施的信息也包括没有反爬措施的数据)混合在一起提供给网贷公司,以此作为其营利手段之一,故其每次的收费项目中既包含没有反爬措施情况下爬取的数据,也包含有反爬措施情况下爬取的数据,难以加以区分。 此外,某企业还对爬取来的原始数据进行加工、整理,形成具有一定独创性的“魔杖”“魔分”等类征信产品,而且也是某公司的营利手段之一,因此难以计算其违法所得,现有证据也无法证明某公司的行为造成了被爬取网站的经济损失,经济损失也无法认定。 最终判决如下: 一、被告单位杭州某数据科技有限公司犯侵犯公民个人信息罪,判处罚金人民币30000000元。 二、被告人周某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑四年,并处罚金人民币500000 元。 三、被告人袁某犯侵犯公民个人信息罪,判处有期徒刑三年,缓刑三年,并处罚金人民币300000元。
